Hackerattacken und Cyberangriffe werden überall diskutiert und gefürchtet. Auch kleine und mittelständische Unternehmen sind immer häufiger Opfer von Attacken aus dem Netz. Gerade in unserer vernetzten Welt sollten sich auch KMU absichern, denn dort können Cyberangriffe den wirtschaftlichen Erfolg ernsthaft bedrohen. Text: Ingrid Walter

Kunden und Kontodaten können ausgespäht, Wirtschafsspionage betrieben und fachliches Knowhow abgekupfert werden. Eine durchgängige IT-Sicherheitsstrategie ist im Zeitalter der Digitalisierung wichtiger denn je.

Einen Betroffenen der bisher größten Hackerattacke der Geschichte dürfte fast jeder von uns kennen. „WannaCry“ legte im Mai dieses Jahres zehntausende Windows-Computer mit einem Erpressungstrojaner lahm. Er verschlüsselt den Inhalt des Computers und verlangt Lösegeld für die Freischaltung.

Den Usern, die das erlebten, war wohl innerhalb von Sekunden zum Heulen zumute – wertvolle Daten oder wichtige Unterlagen, die sie dringend zum Weiterarbeiten brauchten, waren plötzlich unerreichbar oder sogar unwiederbringlich verloren.

Man fühlte sich mit Schiefertafeln in die Kreidezeit versetzt.

Eigentlich war die Sicherheitslücke schon vorher bekannt. Microsoft hatte für sein aktuelles Betriebssystem bereits im März ein Update angeboten, um hier vorzubauen, aber viele User hatten es nicht installiert.

So konnte sich der Trojaner in Windeseile weltweit ausbreiten: In den USA war das Logistik-Unternehmen FedEx betroffen, in Europa das britische Gesundheitssystem und in Deutschland blieben Anzeigetafeln der Deutschen Bahn leer. Man fühlte sich mit Schiefertafeln in die Kreidezeit zurückversetzt.

Warum KMU besonders betroffen sind

Cyberangriffe auf deutsche Unternehmen gibt es tagtäglich. Mehr als jedes zweite Unternehmen ist in den vergangenen zwei Jahren aus dem Internet angegriffen worden, zeigt eine repräsentative Studie des Digitalverbands Bitkom.

„Vielen Firmen ist das Risiko nicht bewusst.“ – Prof. Dr. Stefan Katzenbeisser

Der Schaden ist mit jährlich 55 Milliarden Euro gewaltig. Durch die zunehmende Vernetzung im Zusammenhang mit der Digitalisierung, in der mit der Zeit alle Geräte und Maschinen internetfähig werden, wird die Gefahr von Attacken aus dem Netz noch weiter ansteigen.

Im Idealfall verfügen Unternehmen über frische Backups, aus denen Daten wiederhergestellt werden können. Software sollte immer auf dem neuesten Stand gehalten werden. Hier sind KMU oft zögerlich, denn das bedeutet kontinuierliche und steigende Investitionen in die IT-Infrastruktur.

Prof. Dr. Stefan Katzenbeisser
Prof. Dr. Stefan Katzenbeisser

Mittelständische Unternehmen investieren zwar besonders im Hinblick auf die fortschreitende Digitalisierung in innovative Maschinen, Sicherheitsvorrichtungen für die IT-Infrastruktur werden aber meist als nicht dringend angesehen.

„Vielen Firmen ist das Risiko nicht bewusst. Sicherheitslösungen lassen sich dem Management nicht so gut verkaufen, da kein unmittelbarer Kundennutzen daraus entsteht. Die IT-Verantwortlichen führen da oft einen harten Kampf“, erklärt Prof. Dr. Stefan Katzenbeisser von der Security Engineering Group der Technischen Universität Darmstadt.

Gefahren durch das Internet der Dinge

Die Digitalisierung hat sich kontinuierlich weiterentwickelt, ohne dass es durchgängige Sicherheitskon
zepte gab. So werden intelligente Stromzähler oder „smarte“ Büros in Betrieb genommen, ohne dass die entsprechenden Systeme vor Angriffen aus dem Netz geschützt sind.

Jedes fünfte Unternehmen wurde 2016 Opfer eines Angriffs.

Auch im Maschinen- und Anlagenbau wird beispielsweise auf Industrie 4.0 gesetzt und viele deutsche Mittelständler entwickeln oder erproben derzeit Produkte, die über Mikroprozessoren mit Anlagen und Maschinen kommunizieren können. Hier werden deutsche Mittelständler sogar als Treiber der Digitalisierung angesehen.

Doch die Vernetzung des „Internet of Things“ birgt Gefahren wie Datendiebstahl, Manipulation oder Sabotage. Die möglichen Gefahren müssen kontinuierlich analysiert und an die aktuelle Situation angepasst werden.

Besonders im deutschen Mittelstand wird zu langsam nachgerüstet, was die IT-Sicherheit angeht. Das hat Folgen. Jedes fünfte privatwirtschaftliche Unternehmen wurde 2016 Opfer eines erfolgreichen Angriffs – im Jahr zuvor war es nur jedes zehnte.

So wurde die Produktion eines deutschen Stahlwerks Ende 2014 von direkten Angriffen auf die Produktion lahmgelegt: Damals hatten Unbekannte den Hochofen des Stahlwerks durch Computermanipulationen massiv beschädigt, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Bericht zur Lage der IT-Sicherheit in Deutschland 2014 erklärte.

Die Angreifer verschafften sich durch sogenanntes Spear-Phishing – also gezielt auf Mitarbeiter zugeschnittene, gefälschte E-Mails – zunächst Zugang zu den Bürorechnern der Anlage. Von dort arbeiteten sie sich bis in die Produktionsnetze vor. Die Folge: Einzelne Steuerungskomponenten, gar ganze Anlagen fielen aus, sodass ein Hochofen nicht geregelt heruntergefahren werden konnte.

Was man gegen Phishing-E-Mails tun kann

Eine getarnte E-Mail vom Chef wird wahrscheinlich kaum ein Mitarbeiter ignorieren. In der Eile wird sie geöffnet und eventuell sogar ein Link angeklickt – und schon ist es passiert. Jeder Nutzer hat inzwischen bemerkt, wie raffiniert und schnell E-Mail-Kürzel an die eigenen Gewohnheiten und Interessen angepasst werden. Aber man kann solche schädlichen E-Mails dennoch erkennen und Gefahren vermeiden.

Alex Wyllie von IT-Seal
Alex Wyllie von IT-Seal

Dem Demaskieren von Phishing-E-Mails widmet sich das junge Unternehmen IT-Seal. Es hat sich auf Social Engineering spezialisiert (das bedeutet, auf alle Angriffe, die den unaufmerksamen Menschen zum Ziel haben) und bietet Anti-Phishing-Trainings an, in denen Mitarbeiter ihr Sicherheitsbewusstsein testen und steigern.

„Wir simulieren Angriffe durch gefälschte E-Mails und schärfen
somit das Gespür
der Nutzer für
Phishing-Nachrichten. Die meisten Unternehmen investieren allein in 
die Technik. Die Mitarbeiter werden aber zu selten geschult. Durch real wirkende Phishing-Angriffe testen 
wir kontinuierlich die Wachsamkeit aller Mitarbeiter. Dabei wird aber niemand bloßgestellt. Wer eine gefälschte E-Mail zuerst anklickt, bleibt anonym“, erklärt Alex Wyllie von IT-Seal das Konzept.

Risikofaktor Mensch

Sein erster Tipp ist es, 
die Absender-URL besonders genau unter die
 Lupe zu nehmen. Ob eine E-Mail gefälscht ist, kann man in der Regel am zweiten Teil der Adresse erkennen. Dieser enthält andere Details als der richtige Absender. Auch die Struktur von URLs liefert Hinweise.

„Es ist nur eine Frage der Zeit, bis es einen selbst trifft.“ – Alex Wyllie, IT-Seal

Wenn man mit der Maus über den mitgesendeten Link fährt, ohne ihn anzuklicken, um sich die URL anzeigen zu lassen, kann man erkennen, dass sie fehlerhaft ist oder nicht zum vermeintlichen Absender passt.

„Die Angreifer unterscheiden nicht. Es ist nur eine Frage der Zeit, bis es einen selbst trifft“, sagt Alex Wyllie. Er empfiehlt neben der Wachsamkeit gegenüber gefälschten E-Mails auch Vorsichtsmaßahmen in den sozialen Medien: So sollte man in Xing oder LinkedIn die Privatsphäre-Einstellungen ändern, sodass niemand, der nicht vernetzt ist, die eigenen Kontakte sehen kann. Auf der Unternehmenswebseite sollte man zudem nicht alle Mitarbeiter namentlich aufführen.

Nach wie vor bleibt der Mensch das größte Sicherheitsrisiko. Die Digitale Transformation wird von den Menschen vorangetrieben. Dafür müssen Verantwortliche Ressourcen bereitstellen und Know-how aufbauen.

Sicherheitsstrategien für mittelständische Unternehmen

Um eine Sicherheitsstrategie zu entwickeln, rät der TÜV Mittelständlern zu sechs Schritten. Aus den Experten-Aussagen und Studien geht hervor, dass alle Unternehmen eine moderne Sicherheitsstrategie brauchen, mit der sie sich dauerhaft gegen Cyberangriffe wappnen.

Dabei reicht es bei weitem nicht aus, einmalig eine Sicherheitssoftware anzuschaffen – vielmehr sollten Unternehmen aller Größen auf eine kombinierte und kontinuierliche Sicherheitsstrategie setzen und das Thema zur Managementaufgabe machen.

Sicherheitsstrategien für mittelständische Unternehemen

Aus den Experten-Aussagen und Studien geht hervor, dass alle Unternehmen eine moderne Sicherheitsstrategie brauchen, mit der sie sich dauerhaft gegen Cyberangriffe wappnen. Dabei reicht es bei weitem nicht aus, einmalig eine Sicherheitssoftware anzuschaffen – vielmehr sollten Unternehmen aller Größen auf eine kombinierte und kontinuierliche Sicherheitsstrategie setzen und das Thema zur Managementaufgabe machen.

Um eine Sicherheitsstrategie zu entwickeln, rät der TÜV Mittelständlern zu sechs Schritten:

1. Klares Bekenntnis der Geschäftsführung zur Wichtigkeit des Themas sowie der Sicherheitsstrategie
2. Ausrichtung der IT-Sicherheitsbestrebungen an Unternehmenszielen
3. Implementierung eines IT-Sicherheits-Management-Systems (ISMS, zum Beispiel auf Basis von ISO 27001)
4. Bewertung der Sicherheitsrisiken neuer Technologien
5. Sensibilisierung der Organisation sowie der Mitarbeiter für IT-Risiken
6. Austausch mit Industrieverbänden und externen Sicherheitsexperten

Dieser Artikel erschien zuerst in unserer Print-Ausgabe. Sie wollen schneller informiert sein? Hier können Sie ein Abonnement abschließen.